Miteru es una herramienta experimental de detección de phishing.
Cómo Funciona
Recoge URLs phishy de las siguientes feeds:
- CertStream-Suspicious feed via urlscan.io
- OpenPhish feed via urlscan.io
- PhishTank feed via urlscan.io
- URLhaus feed via urlscan.io
- urlscan.io phish feed (disponible para usuarios Pro)
- Ayashige feed
- Phishing Database feed
- PhishStats feed
Comprueba cada URL phishy si habilita el listado de directorios y contiene un kit de phishing (archivo comprimido) o no.
Nota: archivo comprimido = *.zip, *.rar, *.7z, *.tar y *.gz.
Características
- Detección y recolección de kit de phishing.
- Notificación Slack.
- Threading.
Instalación
gem install miteru
Uso
$ miteru
Commands:
miteru execute # Execute the crawler
miteru help [COMMAND] # Describe available commands or one specific command
$ miteru help execute
Usage: miteru execute
Options:
[--auto-download], [--no-auto-download] # Enable or disable auto-download of phishing kits
[--ayashige], [--no-ayashige] # Enable or disable ayashige(ninoseki/ayashige) feed
[--directory-traveling], [--no-directory-traveling] # Enable or disable directory traveling
[--download-to=DOWNLOAD_TO] # Directory to download file(s) # Default: /tmp
[--post-to-slack], [--no-post-to-slack] # Post a message to Slack if it detects a phishing kit
[--size=N] # Number of urlscan.io's results. (Max: 10,000) # Default: 100
[--threads=N] # Number of threads to use
[--verbose], [--no-verbose] # Default: true
Execute the crawler
$ miteru execute ...
https://dummy1.com: it doesn't contain a phishing kit.
https://dummy2.com: it doesn't contain a phishing kit.
https://dummy3.com: it doesn't contain a phishing kit.
https://dummy4.com: it might contain a phishing kit (dummy.zip).
Usando Docker (alternativa si no instalas Ruby)
$ docker pull ninoseki/miteru
# ex. auto-download detected phishing kit(s) into host machines's /tmp directory
$ docker run --rm -v /tmp:/tmp ninoseki/miteru execute --auto-download
Configuración
Para usar la función –post-to-slack, debes establecer las siguientes variables de entorno:
SLACK_WEBHOOK_URL
: Tu URL de Slack Webhook.SLACK_CHANNEL
: Canal de Slack para publicar un mensaje (por defecto: “#general”).
Si eres un usuario de urlscan.io Pro, establece tu clave de API como una variable de entorno URLSCAN_API_KEY
.
Esto te permite suscribirse al feed de phish de urlscan.io.
Ejemplos
Aasciinema
Notificación Slack
Alternativas
miteru (este enlace se abre en una nueva ventana) por ninoseki (este enlace se abre en una nueva ventana)
A phishing kit collector for scavengers